Windows Fileserver Berechtigungen trotz unterbrochener Vererbung auf alles anwenden

[aemonblackfyre]

Hallo,

leider ein ziemlich langer Titel aber ich dachte mir mehr Infos helfen vllt.
Wir haben ein ziemlich verknarztes Fileserver System mit komischen Berechtigungen. Teilweise haben die User den Besitz der Ordner und uns die Berechtigungen entzogen. Jetzt würden wir gerne den Besitz (wo nötig) und die Berechtigungen anpassen.

Das Ziel wäre es die Administratoren Gruppe des Fileservers überall mit Vollzugriff einzurichten möglichst ohne die bestehenden Berechtigungen dabei anzufassen. Wie geht das am besten?

Ich nehme mal an, es läuft auf ein Powershell Skript (oder nur einen einzelnen Befehl?) hinaus.

Hatte schonmal jemand dieses Problem und kann vielleicht aushelfen?

 

[wern001]

unter sicherheit/erweitert kann man die Berechtigung auf alle unterordner anwenden. das überschreibt die vererbung.
Es kann sein das man das mehrmals machen muss. es bricht gerne ab

 

[Tornhoof]

Was spricht gegen icacls?
Etwa sowas: icacls "D:" /grant "Domain Admins":F /t

F heißt Full, T heißt rekursiv
https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/icacls

 

[BFF]

Wir haben ein ziemlich verknarztes Fileserver System mit komischen Berechtigungen. Teilweise haben die User den Besitz der Ordner und uns die Berechtigungen entzogen

Und wenn das durch ist was @Tornhoof vorschlaegt, entzieht dem Nutzer das Recht den Admins die Recht zu entziehen.

Wenn es bei Euch ungefaehr so ist wie bei uns damals, das die IT und Nutzer zwei verschiedene Zustaendigkeiten haben erklaert denen, dass es keine Sicherungen gibt, wenn die das selbst, durch Entzug der Rechte, unmoeglich machen.

 

[aemonblackfyre]

unter sicherheit/erweitert kann man die Berechtigung auf alle unterordner anwenden. das überschreibt die vererbung.
Es kann sein das man das mehrmals machen muss. es bricht gerne ab

das habe ich so probiert. leider schlägt das fehl da der nutzer mit dem ich das ganze durchführen wollte nur lokaler Admin war auf dem Server. Auf den Ordnern hatte aber der lokale Admin keine Berechtigungen und die Vererbung war unterbrochen. Der Explorer scheint das dann nicht fest genug nach unten druchzutreten.

Als ein Kollege das heute morgen mit Dom Admin rechten gestartet hat ging es dann ohne Probleme.

Die Laufwerke wurden leider angelegt bevor es Berechtigungs Tiers gab weshalb überall der Dom Admin drin hängt.

Ich werde mal tests mit icacls laufen lassen auf nem testsystem. wenn das klappt dann schonmal vielen dank.

 

[wern001]

der explorer macht nichts anderes als icacls
meiner Erfahrung nach muss man den Ordner wo es fehlschlägt per Hand nochmal machen

 

[aemonblackfyre]

bei mehreren hunderten ordnern und tausenden dateien ist das natürlich keine option.

 

[BFF]

Ueberlegen ob der Aufwand das glatt zu ziehen groesser ist als die Struktur geordnet und mit richtigen Rechten neu aufzubauen.

Wir haben damals eine Parallele Struktur angelegt und was neu erstellt wurde kam da rein. Der alte Krams wurde von Muell befreit, aufgeraeumt aka Dubletten usw. Der Rest wurde da ueber ein WE von den alten Rechten befreit und in die neue Struktur ueberfuehrt.

 

[Evil E-Lex]

Es gibt durchaus auch Softwarelösungen, die einen bei dieser Aufgabe unterstützen können. Ich habe vor mehreren Jahren mit migraven gearbeitet. Leider aber nur in der Analysephase, da ich im Projekt den Arbeitgeber gewechselt habe. Die Analyse war allerdings einwandfrei. Dort wurden zum Beispiel Alter der Dateien und Verzeichnistiefe, oder aber Probleme bei den Berechtigungen analysiert und visualisiert. Das fanden insbesondere die Fachabteilungen interessant, weil durch die erzeugten Diagramme, die Probleme viel deutlicher darstellbar waren, als durch die IT-Abteilung selbst.

 

[aemonblackfyre]

Ueberlegen ob der Aufwand das glatt zu ziehen groesser ist als die Struktur geordnet und mit richtigen Rechten neu aufzubauen.

Wir haben damals eine Parallele Struktur angelegt und was neu erstellt wurde kam da rein. Der alte Krams wurde von Muell befreit, aufgeraeumt aka Dubletten usw. Der Rest wurde da ueber ein WE von den alten Rechten befreit und in die neue Struktur ueberfuehrt.

Im Zuge dessen ist es ja zu den Problemen gekommen

Mit einem Domänen Admin Account ist das auch alles kein Problem die Frage ist nur kennt jemand eine Möglichkeit das Ganze mit einem anderen Account automatisiert zu machen.

Praktisch eine Abfrage des Besitzers wenn lokaler Admin zum nächsten Schritt wenn wer anderes schauen ob lokaler Admin vollzugriff hat wenn nein Besitz übernehmen und vollzugriff hinzufügen.

Wenn schon Besitzer aber kein vollzugriff nur den vollzugriff eintragen.

Am Montag fängt meine PS Schulung an da würde ich das mal ansprechen wenn am Ende Zeit bleibt.

 

[Evil E-Lex]

Auf den Ordnern hatte aber der lokale Admin keine Berechtigungen und die Vererbung war unterbrochen. Der Explorer scheint das dann nicht fest genug nach unten druchzutreten.

Der lokale Admin kann sich jederzeit zum Besitzer aller Ordner und Unterordner machen und dann die Berechtigungen entsprechend setzen.

Als ein Kollege das heute morgen mit Dom Admin rechten gestartet hat ging es dann ohne Probleme.

Vermutlich war der Domänenadmin dann der Besitzer der Ordner. Was Berechtigungen auf Dateisystemebene angeht, ist der Domänenadmin nicht mächtiger als ein lokaler Administrator.